我有一个 ASP.NET 站点,一些客户需要更好的安全层来访问它。今天的网站要求输入用户名和密码,但是很多客户想要限制对某些机器的访问,我需要在我的服务器端执行此操作。所以,我正在寻求一些建议。
使用VPN限制访问?(使用移动设备将无法工作)
可以查看mac地址吗?
可以使用客户端证书吗?
问问题
781 次
3 回答
3
对用户最简单
我会检查多因素身份验证(Andrew Walters 的评论提到的),所有内容都通过 SSL 交付,并特别注意页面超时、会话固定、密码策略等问题。
传送到手机的 PIN 是常用的第二个因素。
我断言这是“对用户来说最简单的”,因为许多大型网站(例如 Google 和 Facebook,他们的银行)都以这种方式运作。无需安装任何东西,也无需学习任何新东西。
从商业角度来看,这很多都是不可取的。
VPN
使用VPN限制访问?(使用移动设备将无法工作)
这是企业环境中的常见选项,通常被认为是安全的(尽管不是放弃密码策略等其他良好做法的借口)。但是,您确实可以选择移动设备。
请参阅F5 的 SSL VPN,特别是他们关于 iOS 和 Android 移动访问的白皮书,其中指出:“适用于 iOS 和 Android 设备的 BIG-IP Edge Portal 应用程序简化了对企业 Web 应用程序的安全移动访问 [...] 用户可以访问内部网页和安全的 Web 应用程序。”
您可以通过在身份验证过程中添加另一个因素来提高安全性:具有不断变化的 PIN 的令牌。
证书
可以使用客户端证书吗?
是的,这是可能的;它是否满足您的业务需求是另一回事(例如,管理此类解决方案需要技能/时间)。
如果您不熟悉该主题,我建议您阅读这篇知识库文章(快速阅读)。
于 2013-02-27T18:02:30.200 回答
2
如果您想锁定对某些机器的访问,请使用 IIS 的http://www.iis.net/downloads/microsoft/dynamic-ip-restrictions。指定哪些 IP 可以访问 > 确保在 dhcp 中将它们设置为静态。这是工资单供应商和信用卡公司在 IIS 中使用的“按需访问方法”。
于 2013-02-27T18:09:42.683 回答
0
1)使用VPN限制访问?
肯定会工作。它确实限制了您可以使用的机器。
2)可以检查mac地址吗?
它是,但它不是一种安全的方法,因为 MAC 地址可以被欺骗。
3)可以使用客户端证书吗?
实际上,这可能是您最好的选择。
于 2013-02-27T17:55:14.727 回答